Fast Identity Online 2 (FIDO 2) – endlich passwortfrei?
Mit Fast Identity Online 2 (FIDO 2) gibt es einen Industriestandard, der das Zeug hat, die anhaltenden Probleme mit den Passwörtern zu lösen. Die verschlüsselten Anmeldedaten verbleiben auf den jeweiligen Geräten und werden nicht über das Internet verschickt. Cyberkriminelle könnten sich damit weder per Phishing noch mit gestohlenen Passwörtern oder Replay- beziehungsweise Brute-Force-Attacken in fremdem Namen Zugang zu gesicherten Diensten verschaffen, lautet das Versprechen.
Passwörter sind die Achillesferse der Internet-Kommunikation – sie können abgefangen, ausgespäht oder im schlimmsten Fall durch schlichtes Ausprobieren ausgehebelt werden. Angesichts der Vielzahl an Passwortabfragen, mit denen Softwarenutzer tagtäglich konfrontiert sind, vernachlässigen viele von ihnen grundlegende Regeln zur Mindestlänge und Komplexität und tragen so – ob aus Unwissenheit oder Bequemlichkeit – zur Gefährdung ihrer Benutzerkonten bei.
Aus Sicht von Security-Experten spricht vieles dafür, Passwörter durch eine Mehrfaktor-Authentifizierung zu ergänzen oder sie im Idealfall ganz abzuschaffen. Auf dem Weg in eine passwortfreie Zukunft bilden die Industriestandards FIDO und FIDO 2 wichtige Meilensteine.
FIDO – die Kurzform für Fast Identity Online – ist ein offener und lizenzfreier Industriestandard für eine sichere, schnelle und einfache Authentisierung im Internet. Entwickelt wurde er von der 2012 gegründeten nichtkommerziellen FIDO-Allianz mit Sitz im kalifornischen Mountain View, der hunderte Unternehmen aus aller Welt angehören, darunter IT-Konzerne wie Google, Microsoft und Samsung, aber auch Zahlungsdienstleister wie Paypal und VISA sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Der FIDO-Standard, mittlerweile zu FIDO 2 weiterentwickelt, verschafft Herstellern die Möglichkeit, in ihren Produkten eine hardwaregestützte Authentisierung wie Fingerabdruckoder Gesichtserkennung einzusetzen. Nutzer können sich so unkompliziert bei Online-Services anmelden, ohne sich Passwörter merken zu müssen. FIDO 2 ist nach FIDO Universal Second Factor (FIDO U2F) und FIDO Universal Authentication Framework (FIDO UAF) bereits der dritte Standard, der aus der Arbeit der Allianz hervorgegangen ist.
FIDO 2 – WebAuthn meets CTAP
Gestohlene oder durch Brute-Force-Attacken entschlüsselte Passwörter sind nach wie vor Hauptangriffsfläche für Hacker. FIDO 2 wurde geschaffen, um diese Sicherheitslücke zu schließen. Der Standard besteht im Wesentlichen aus folgenden beiden Komponenten:
Die Spezifikation der internationalen Standardisierungsorganisation für das World Wide Web, des World Wide Web Consortium (W3C), für die Web-Authentifizierung (WebAuthn). WebAuthn bildet als Programmierschnittstelle die Grundlage für die sichere Online-Authentifizierung. Web-Anwendungen und Websites, die WebAuthn nutzen, ermöglichen es Nutzern, sich mithilfe eines Public-Key-Verfahrens zu authentifizieren. Bei der Entwicklung von
Gestohlene oder durch Brute-Force-Attacken erratene Passwörter sind nach wie vor Hauptangriffsfläche für Hacker.